文章总结： 热门AI模型网关LiteLLM的PyPISDK（v1.82.7/8）遭供应链投毒，攻击者利用被盗Token发布含恶意代码版本，通过.pth文件在Python启动时静默执行。攻击窃取系统变量、云凭据、SSH密钥及加密钱包等敏感数据，经RSA加密外传并植入持久化后门。用户需立即回滚至安全版本，移除恶意文件并轮换相关凭证，报告提供了详细IoC及排查方案。 综合评分： 93 文章分类： 供应链安全,威胁情报,AI安全,恶意软件,应急响应

紧急AI投毒情报 | 热门AI模型网关LiteLLM遭受供应链投毒，总下载量超4.8亿次！

原创

悬镜安全情报中心 悬镜安全情报中心

悬镜安全

2026年3月25日 03:39 上海

AI风险情报概述

Summary

北京时间3月24日19点，悬镜AI安全情报中心在Pypi官方仓库中监测到热门开源AI模型网关 LiteLLM 连续发布1.82.7及1.82.8 两个新版本python SDK，并且在SDK源码中都检出混淆恶意代码。目前猜测是项目开发者Pypi token被盗而引发的供应链投毒事件。在1.82.7版本中，攻击者将恶意代码直接植入到 proxy_server.py 文件，而在1.82.8 版本中恶意代码隐藏到 litellm_init.pth 文件，并利用 Python .pth文件启动即执行机制，在Python解释器启动时静默执行pth文件中的恶意代码。

此次供应链投毒主要目标是窃取受害系统的敏感数据（包括系统环境变量、SSH 密钥、AWS/Azure 云服务凭据、K8s/Git/Docker/数据库配置、SSL 证书私钥、加密钱包配置及密钥等），数据最终被RSA加密打包后外传到攻击者服务器；此外，攻击者还会在目标系统中生成脚本后门，并利用系统服务进行后门持久化驻留。

| | | | | — | — | — | | 组件包名 | 投毒版本 | 发布时间 | | litellm | 1.82.7; 1.82.8 | 2026.03.24 |

LiteLLM SDK主页（投毒版本1.82.8及1.82.7）

LiteLLM作为一款热门开源AI模型网关，其SDK在Pypi仓库总下载量超过4.8亿次。针对此次突发投毒事件，悬镜安全已于第一时间将该SDK投毒相关技术细节向XSBOM供应链安全情报订阅用户推送预警。

LiteLLM SDK总下载量

供应链投毒分析

Poisoning Analysis

1

pth文件投毒

以 litellm 1.82.8 版本为例，攻击者利用Python启动加载执行 .pth 文件的特性，在litellm组件根目录存放恶意 litellm_init.pth 文件，当组件安装后，litellm_init.pth文件将释放到当前Python环境的site-packages目录中，一旦Python解释器启动，site-packages目录下的 litellm_init.pth 将被静默加载，并按行执行其中的恶意代码。如下图所示，攻击者将恶意代码通过base64编码嵌入 litellm_init.pth 文件中。

恶意 litellm_init.pth 文件

2

敏感数据窃取

实际的恶意代码被双层base64编码内嵌在 litellm_init.pth 文件中，其主要功能是对目标系统中各类敏感数据进行全方位收集，主要包括：

• 系统基础信息

• 环境变量

• SSH 密钥

• SSL 证书私钥

• 云服务凭证（AWS、Azure、Google Cloud）

• K8s 凭据

• Git 配置

• Docker 配置

• 数据库配置（mysql、mongodb、redis、postgresql等）

• 加密钱包配置及密钥相关文件（Bitcoin、Ethereum、Solana、Cardano 等）

系统信息、ssh密钥及aws凭证收集

加密钱包应用数据收集

3

数据加密外传

收集的敏感数据最终会被RSA加密后打包为tar文件，并使用curl命令上传到攻击者服务器：https://models.litellm.cloud 。

数据加密及压缩

攻击者使用以下RSA加密公钥对数据进行加密：

PUB_KEY_CONTENT = """-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----"""

4

后门持久化

PERSIST_B64存放base64编码后的后门代码，后门代码最终解码后释放写入到 文件 ~/.config/sysmon/sysmon.py ，并通过systemctl添加为 sysmon.service 实现后门持久化驻留。

后门代码解码释放

如下图所示，后门代码主要功能是每隔3000秒从C2地址（https://checkmarx.zone/raw）动态下载最新payload程序到目标系统上执行。

持久化后门代码

5

IoC 数据

此次针对litellm供应链投毒涉及的恶意IoC数据如下表所示：

排查方式

Investigation Method

1. 通过命令 pip show litellm 查询是否已经安装投毒版本（1.82.7、1.82.8），如果已安装请立即使用 pip install litellm==1.82.6  回滚到安全版本；
2. 排查并移除所有site-packages 目录下的 litellm_init.pth 文件；
3. 根据本报告提供的IoC对项目文件进行哈希匹配，若命中则立即清除相关恶意文件，并更换SSH、云账号（AWS/Azure）等口令凭证；
4. 使用悬镜开源工具 OpenSCA-cli将受影响的组件包按如下示例保存为db.json文件，并在opensca配置文件中指定db.json文件路径后，直接执行扫描命令（opensca-cli -path ${project_path}），即可快速获知您的项目是否受到投毒包影响。

[     {         "product": "litellm",         "version": "[1.82.7, 1.82.8]",         "language": "Python",         "id": "XMIRROR-MAL45-B04BC853",         "description": "热门开源AI模型网关LiteLLM Python SDK遭受供应链投毒开展窃密后门攻击",         "release_date": "2026-03-24"     }]

近期悬镜安全正式发布的新一代AI原生安全治理平台“问境AIST”已将 AI 供应链安全情报纳入整体治理框架，当外部出现针对特定 AI 框架、模型组件或数据链路的 0Day 攻击与投毒事件时，AIST平台能够根据 AI-BOM 快速识别受影响范围，定位关联资产与代码链路，并为修复和处置提供更具针对性的依据，帮助企业构建起小时级的风险响应闭环。

＋

部分标杆用户

＋

推荐阅读

关于“悬镜安全”

悬镜安全，起源于北京大学网络安全技术研究团队“XMIRROR”。作为新一代数字供应链安全开拓者，首创基于“AI原生安全+ DevSecOps敏捷安全+多模态SCA+开源供应链情报预警”技术的新一代数字供应链安全治理体系，从源头治理大模型开发、训练、部署到智能体运营等关键环节面临的AI原生安全风险，帮助企业用户构筑一套从传统软件供应链到AI原生供应链全生命周期的内生安全治理体系，持续守护新一代数字供应链安全。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：悬镜安全 悬镜安全情报中心 悬镜安全情报中心《紧急AI投毒情报 | 热门AI模型网关LiteLLM遭受供应链投毒，总下载量超4.8亿次！》